Taso 4 = Varmenneteknologiaa

Entrust-webinaari #6 ”How a Reliable CA Can Help with the Certificate Lifecycle?” – kannattaako katsoa?

entrust_webinaarit_740x400Entrustin ”Best Practices Webinar” -sarjan  kuudes osa on “How a Reliable CA Can Help with the Certificate Lifecycle?”. Tämä 57-minuuttinen webinaari kertoo tavoista, joilla hyvä ja luotettava varmennetoimittaja (CA) voi auttaa palvelinten tietoturvan lisäämisessä. Tämä webinaari oli ”Best Practices” -sarjan viimeinen.

Pitäjä: Mark Giannotti    Pituus: 57 minuuttia     Tekninen vaativuustaso 2 (5 = vaikein)

Itselleni tärkeää ja uutta esityksessä oli:

  • Entrust kuvaa eri SSL-varmenteiden työkalut osana Turvallisen Palvelimen Elinkaarta. Tämä antaa loogisen viitekehyksen niiden optimaaliselle käytölle. Esimerkki SHA1 –> SHA2 -muutoksen tekemisestä näillä työkaluilla on mainio.

Sisällöstä otteita:

  • Aika 0 – 9 minuuttia: Kertausta: Web-sivujen suurimmat tietoturvaongelmat ja Best Practice -”Kellotaulu” – mihin asioihin pitä kiinnittää huomiota:
  • Aika 9 –15 minuuttia: Luotettavan varmentejan (CA) valinta
    • SSL/TLS -guru Ivan Ristic: Katso varmentajan tietoturvahistoria, millaisen osuuden toiminnasta varmenteet muodostavat, millainen on sulkulistapalvelu (OCSP, CRL), tuotevalikoima, varmenteiden hallintatyökalut, tuki
  • Aika 15 – 27 minuuttia: Tietoturvaa myös pelkkien varmenteiden yli – taustaa
    • Haasteet:
      • Miten estetään palvelukatkokset SSL-varmenteiden vanhenemisesta?
      • Miten vältetään tietohyökkäyksille altiit vanhat SSL/TLS -protokollat?
      • Kehittyvä teknologia (ECC, OCSP Stapling, HTTP/2, …)
      • Yhdenmukaisuus tietoturvastandardeihin (PCI, HIPAA, …)
      • Resurssien riittävyys
    • Entrustin Turvallinen Palvelimen Elinkaari (Secure Server Lifecycle)
      • Nykyisten varmenteiden tunnistaminen/skannaus (Discovery)
      • Tehokas varmennevaraston käyttö (helppo prosessi, varmenteiden kierrätys, …)
      • Varmenteet välittömästi (etukäteisvarmennus, portaalin käyttö, reissue, rekey, …)
      • Helppo varmenteiden asennus (täydellinen toimitus, automaattiasennus, ohjeistus, …)
      • SSL-varmenteiden ja palvelimien valvonta (uhkien tunnistaminen, reagointi, …)
      • Raportointi (vanhenevat varmenteet, uhatut palvelimet, …)
  • Aika 27 – 50 minuuttia: Tietoturvaa myös pelkkien varmenteiden yli – käytäntöä
    • Työkaluja, joilla Entrust toteuttaa Turvallisen Palvelimen Elinkaaren:
      • Palvelukatkoksen välttäminen: Vanhenemisilmoitukset + Discovery-valvonta
      • Vaaralliset protokollat web-palvelimilla: SSL Server Test, valvonta/raportointi
      • Uusien uhkien välttäminen: Varmenteiden helpot muutokset tarvittaessa (ReIssue), Entrustin tarjoamat Best Practices -menetelmät ja -tuki, automaattinen (esim. viikottainen) palvelinten protokollien tarkastus ja hälytykset
      • Esimerkki: Miten Entrust-työkalut auttavat SHA1àSHA2 -muutoksessa:
        • 1) Kaikkien varmenteiden skannaaminen ja SHA1-varmenteiden löytäminen Discovery-työkalulla
        • 2) Tehokas varmennevaraston käyttö säästää rahaa kun esim. Pooling-mallissa voidaan kierrättää varmenteet
        • 3) Uudet SHA2-varmenteet saadaan välittömästi
        • 4) SHA2-varmenteiden mukana tulee koko uusi varmenneketju ja ohjeet – tai voit käyttää automaattista Turbo-asennusta IIS:lle
        • 5) Automaattinen SSL Server Test näyttää muutostyön etenemistä
  • Aika 50 – 54 minuuttia: Lyhyt kertaus ja linkkejä lisätietoon
  • Aika 54 – 57 minuuttia: Kysymyksiä ja vastauksia:
    • ”Mitä ovat DV/OV/EV -varmenteet, jotka näkyivät webinaarissa”

Lisää tietoa: info (at) wesentra.com           tai        https://www.wesentra.com

Taso 4 = Varmenneteknologiaa

Entrust-webinaari #5 ”Keys, Certificates and Advanced Certificates” – kannattaako katsoa?

entrust_webinaarit_740x400Entrustin ”Best Practices Webinar” -sarjan viides osa on ”Keys, Certificates and Advanced Certificates”. Tämä 65-minuuttinen webinaari esittää tapoja varmenteisiin liittyvien avaimien hallintaan ja kertoo edistyneimmistä varmennevaihtoehdoista (Multi-domain, Wildcard, EC, Private).

Pitäjä: Mark Giannotti    Pituus: 65 minuuttia     Tekninen vaativuustaso 2 (5 = vaikein)

Itselleni tärkeää ja uutta esityksessä oli:

  • Esim. finanssilaitosten kokemukset siitä, että heidän asiakkaansa osaavat odottaa EV-varmenteita ja jos osoitepalkki ei muutu vihreäksi (ja pankin nimi ei näy osoiterivillä), käyttäjät muuttuvat epäluuloisiksi
  • EC-varmenteiden käsittely käytännössä

Sisällöstä otteita:

  • Aika 0 – 14 minuuttia: Kertausta: Web-sivujen suurimmat tietoturvaongelmat ja Best Practice -”Kellotaulu” – mihin asioihin pitä kiinnittää huomiota:
  • Aika 14 –30 minuuttia: Varmenteet ja salaiset avaimet
    • Salaisten avainten suojaus – aina uusi avain varmenteen uusimiseen – poista tarpeettomat
    • Avainten rajoitteet – RSA-avain vähintään 2048 bittiä – älä tee turhaan pidempiä
    • Mitä domain-nimiä varmenteen pitäisi kattaa
    • Salaisen avaimen kopioimisessa toiselle palvelimelle on riskinsä
    • Haasteet itse allekirjoitetuissa varmenteissa (omalla PKI:lla)
    • Varmenteet privaattidomaineille (non-FQDN)
  • Aika 30 – 53 minuuttia: Edistykselliset varmenteet (Advanced Certificates)
    • Multi-domain -varmenteet (= Unified Communication / UC-varmenteet tai SAN-varmenteet)
    • Wildcard vs. Multi-domain – Wildcard on joustava mutta sen hallinta on haastavampaa
    • Esimerkki: F5 front end ja useita palvelimia sen takana – mikä on hyvä varmenneratkaisu?
    • EV (Extended Validation) – kriittisillä palveluilla käyttäjät odottavat vihreää osoitepalkkia
    • ECC – Elliptic Curve Cryptography – esim. 256-bit ECC-avain vastaa tietoturvaltaan 2048-bit RSA-avainta ja on paljon nopeampi. Haaste on, onko ECC-root kaikilla käyttäjillä. ECC-varmenteen saa nykyisestä Portaalista tekemällä ECC-varmennehakemuksen.
  • Aika 53 – 60 minuuttia: Varmenteet privaattidomaineille (Non Registered Domains)
    • Miksi CA/Browser Forum pysäytti julkiset varmenteet privaattidomaineille
    • Ratkaisu: Private Trust -varmenne – mahdollistaa Entrust-varmenteen privaattidomainille. Tämä vaatii Private Rootin jakamisen käyttäjille.
  • Aika 60 – 65 minuuttia: Lyhyt kertaus ja linkkejä lisätietoon

Lisää tietoa: info(at)wesentra.com       tai   https://www.wesentra.com

Taso 5 = Entrust SSL-Portaali

Entrustilta uusi versio SSL-Portaalista – katso 16 minuutin esittelyvideo

certificate_services_12

Tämä artikkeli on tarkoitettu lähinnä Entrust SSL-Portaalin käyttäjille.

Entrust on julkaissut Entrust Certificate Services Portaalista version 12, jossa on taas useita uusia ominaisuuksia – esim:

  • Lisää hyödyllisiä tietoja raportointiin ja helpompi tietojen export
  • SSL-varmenteiden automaattinen asennus palvelimille (ACME + Certbot)
  • Tarvitsetko vielä SHA-1 varmennetta esim. vanhalle sovellukselle?
    Saat sen Entrustilta Private -versiona
  • Portaaliin vahva tunnistautuminen on tehty entistäkin helpommaksi
  • Entrustilla on verkossa ilmainen työkalu SSL-varmenteiden etsimiseen CT-logeista
    https://www.entrust.com/ct-search/
  • Jos haluat, saat myös Entrust OV-varmenteet CT-logeihin (Certificate Transparency)

Entrustin voimakas panostus Portaalin kehittämiseen viimeisten kahden vuoden aikana on tehnyt siitä markkinoiden johtavan ratkaisun.

Katso tästä 16 minuutin videoesittely uusista ominaisuuksista.

Ja lisäinfoakin annamme mielellämme: info@wesentra.com

Taso 3 = Verifioinnista (XV-DV-OV-EV)

Kotimainen varmennuspalvelu sai Avainlippu-tunnuksen – mitä se tarkoittaa?

Suomalaisen Työn Liitto myönsi kesäkuussa Wesentra Oy:lle Avainlippu-tunnuksen SuomalPalvelua_Sin_rgbosoituksena Suomessa tuotetulle ja Suomessa työllistävälle palvelulle. Avainlipun ensisijaisena myöntämiskriteerinä on aina se, että tuotteen on oltava valmistettu tai palvelun tuotettu Suomessa. Lisäksi lasketaan kotimaisuusaste, jonka on oltava vähintään 50 prosenttia omakustannusarvosta. Omakustannusarvossa otetaan huomioon palveluun liittyvät kustannukset, kuten henkilöstökustannukset, alihankinnat ja materiaalihankinnat. Palvelu-Avainlippua hakevalla yrityksellä on myös oltava merkittävä kotimainen omistusosuus, Suomessa toimiva johto ja yrityksen pääkonttorin tulee sijaita Suomessa.

Aloitimme kotimaisen ja suomen kielisen SSL-varmenteiden verifioinnin, asiakkaan varmennetta varten ilmoittamien tietojen varmistamisen, kesäkuussa. Itse en ole ollut varmenteiden ja verifioinnin kanssa missään tekemisissä ennen tätä ja kaikki aiheeseen liittyvä onkin ollut uuden opettelua. Jo käsitteiden suomentaminen on ollut oma hommansa, materiaalit ovat englanniksi ja niitä olemme nyt kääntäneet suomen kielelle. Olen monesti joutunut miettimään pitääkö tämä käsite suomentaa vai onko kyseessä suomenkieleen vakiintunut englanninkielinen käsite. Puhelimitse verifiointisoittoja tehdessä on välillä meinannut mennä sormi suuhun, kun olen miettinyt miten asia tulisi suomeksi esittää.

Ilokseni olen huomannut, että asiakkaamme ovat avuliaita meidän suuntaan, he ymmärtävät nämä alkuvaiheen haasteet ja yhdessä olemmekin saaneet verifioinnit vietyä onnistuneesti läpi. Kehitämme kotimaista verifiointipalvelua jatkuvasti Entrustin kanssa yhteistyössä ja opimme verifioinnista koko ajan lisää. Verifiointiprosessi on hetkittäin haastava, koska meidän tulee seurata CA/Browser Forumin asettamia tarkkoja ehtoja eikä siinä auta lähteä sooloilemaan. Suomessa yritystiedot ja domainien WHOIS-tiedot ovat pääsääntöisesti kunnossa ja mielestäni tähän liittyen on erittäin hyvä, että meillä on olemassa järjestelmät ja lainsäädäntö, jotka määrittävät mitä tietoja yrityksistä on oltava julkisesti saatavilla. Pyrimme Entrustin kanssa huomioimaan tämän suomalaisen lainsäädännön ja käytänteet myös verifioinnin osalta, tietyt asiat hoidetaan Suomessa eri tavalla kuin Kanadassa ja tämän ymmärtämisessä on välillä haastetta. Meille suomalaisille selvät asiat, kuten esimerkiksi Y-tunnuksen merkitys, ovatkin Kanadassa ihan tuntemattomia.

Kotimaisuus on myös IT-bisneksessä tärkeää, asiakkaamme arvostavat sitä, että varmenteiden verifiointiin liittyvät viestit ja puhelut tulevat Suomesta ja suomen kielellä. Ja suomalaisen aikataulun mukaisesti, monikaan ei halua vastata työpuheluihin työajan ulkopuolella. Avainlippu-tunnus kertoo sen, että vaikka itse varmenteet tulevat ulkomailta Entrustilta, niin niiden myöntämisen perusteena oleva varmennustyö tehdään suomalaisin voimin kotimaassa.

Taso 2 = Yleistä varmenteista

Vieraskynä: Kokemuksia Wildcard-varmenteen hankkimisesta

MPL_Marko_Kuva1

Tämä ingressi on Wesentran kirjoittama – varsinainen vieraskynä-osuus alkaa kahden kappaleen päästä.

MPL_Marko_Kuva2Artikkelin kirjoittaja Marko Alamäki MLP Modular Learning Processes Oy:sta on kasvatustieteilijä, joka työssään törmää usein IT-alan kysymyksiin. Ja nyt hän törmäsi tarpeeseen hankkia SSL-varmenne uuteen verkkokauppasivustoon. Tämä on hänen tarinansa 🙂

Se sisältää mm. kohdan ”… Analysoin mielenkiinnosta verkkokauppamme sivuston sertifikaatin mukana tulleilla työkaluilla. Tulosten perusteella pystyimme ehdottamaan palvelimen ylläpitäjälle tiettyjen protokollien poistamista palvelun konfiguraatiosta ja palvelusta tuli entistäkin turvallisempi. …”

Jatka lukemista ”Vieraskynä: Kokemuksia Wildcard-varmenteen hankkimisesta”

Taso 4 = Varmenneteknologiaa

Entrust-webinaari #4 ”Domain Protection” – kannattaako katsoa?

entrust_webinaarit_740x400Entrustin ”Best Practices Webinar” -sarjan neljäs osa on ”Domain Protection”. Tämä 56-minuuttinen webinaari kertoo neljästä eri menetelmästä suojata oma domain siten, ettei kukaan pääse tekemään valheellista varmennetta saman nimiselle domainille ja ohjamaan liikennettä sinne.

Pitäjä: Mark Giannotti    Pituus: 56 minuuttia     Tekninen vaativuustaso 3 (5 = vaikein)

Itselleni tärkeää ja uutta esityksessä oli:

  • Eri suojaamismenetelmät ja niiden perustoimintatavat
  • Mitä kannattaa huomioida HTTP Public Key Pinning -määritteissä

Jatka lukemista ”Entrust-webinaari #4 ”Domain Protection” – kannattaako katsoa?”